Django Web uygulamalarını etkileyen kritik bir uzaktan kod yürütme (RCE) güvenlik açığı, tam sunucu uzlaşması için iyi huylu CSV dosya yükleme işlevselliğinin ne kadar silahlandırılabileceğini gösteriyor.
Summary
1. Django RCE exploit chains directory traversal with CSV parser abuse to compromise servers through file uploads.
2. Attackers use unsanitized username input (../../../../../../app/backend/backend/) to target Django's wsgi.py file.
3. Malicious Python code embedded in CSV comments survives pandas processing and auto-executes when Django reloads wsgi.py.
4. Successful exploitation grants full remote code execution and potential infrastructure infiltration.
30 Haziran 2025’te yayınlanan istismar, Django’nun WSGI.PY dosyasının üzerine yazmak ve keyfi kod yürütme elde etmek için Pandas CSV ayrıştırıcı kötüye kullanımı ile zincirler dizini geçiş.
Django App CSV yükleme aracılığıyla uzaktan kod yürütme
Bir hata ödül katılımı sırasında, güvenlik araştırmacısı Jineesh AK, bir Django uygulamasında kullanıcıların işleme için CSV dosyalarını göndermesini sağlayan bir güvenlik açığı ortaya koydu.
.png
)
Uygulamanın savunmasız uç noktası, yüklenen CSV dosyalarını ayrıştırmak ve işlenmiş sonuçları kullanıcı kontrollü girişe göre diske kaydetmek için pandalar kullandı.
Kritik kusur, uygulamanın uygun dezenfekte olmadan kullanıcı tarafından sağlanan verilere olan güveninden ortaya çıktı. Savunmasız kod segmenti, kullanıcı adı parametresinin doğrudan dosya sistemi yollarına nasıl dahil edildiğini gösterir:
Bu tasarım, saldırganların ../../../../../../APP/Backend/backend/ gibi dizin geçiş dizilerini kullanarak dosya yazma konumunu manipüle etmesine izin verdi, amaçlanan erişim kontrollerini etkili bir şekilde atladı ve hassas sistem dosyalarını hedef aldı.
Araştırmacının sömürü tekniği, geçerli python kodunu kalırken Pandas’ın Read_CSV () ve TO_CSV () işleme döngüsünden sağ çıkacak kötü niyetli bir CSV yükünün hazırlanmasını içeriyordu.
Anahtar inovasyon, Python yorumlarına kötü niyetli yükü yerleştirerek Pandalar tarafından tanıtılan ek virgül ve biçimlendirmenin Python tercümanı tarafından göz ardı edilmesini sağlamaktı.
Yük, hem CSV ayrıştırma davranışı hem de python sözdizimi hakkında sofistike bir anlayış gösterdi:
Django’nun geliştirme sunucusu, değiştirildiğinde bu web sunucusu ağ geçidi arabirimi dosyasını otomatik olarak yeniden yüklediğinden, manuel müdahale gerektirmeden anında kod yürütmeyi tetiklediğinden, hedef dosya WSGI.PY stratejik olarak seçildi.
Bu güvenlik açığı, çok sayıda görünüşte küçük güvenlik kusurlarını kritik istismarlara zincirlemenin tehlikeli potansiyelini göstermektedir.
Saldırı vektörü, uygulamalarla ilgili birkaç uygulamayı vurgular: dosya sistemi işlemlerinde tasarlanmayan kullanıcı girişi, üçüncü taraf kitaplıklarla güvensiz dosya işleme ve Django’nun geliştirme ortamlarında otomatik yeniden yükleme davranışı.
Gözden uygulanan, saldırganlara sunucu tarafı kod yürütme özelliklerini tamamlar, potansiyel olarak veri hırsızlığı, sistem uzlaşması ve hedeflenen altyapı içinde yanal harekete yol açar.
Dosya yükleme işlevselliğine sahip Django uygulamalarını kullanan kuruluşlar, benzer kalıplar için kodlarını derhal denetlemeli, uygun giriş doğrulaması uygulamalı ve bu tür sömürü zincirlerini önlemek için kum havuzu işleme işlemlerini göz önünde bulundurmalıdır.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi